Loi fédérale sur la révision totale de la loi sur la protection des ...

personnelles que s'il existe une base légale au sens de l'art. 29, al. ... b. la personne concernée a rendu ses données personnelles accessibles à tout un.
269KB taille 3 téléchargements 255 vues
[Signature]

[QR Code]

Avant-projet

Loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales du …

L’Assemblée fédérale de la Confédération suisse, vu le message du Conseil fédéral du…, arrête: I Est adoptée la loi mentionnée ci-après: la loi sur la protection des données conformément au texte figurant à l’annexe. II Les lois mentionnées ci-après sont modifiées comme suit:

1. Code pénal1 Art. 349a 1. Protection des données personnelles a. Droit applicable Sauf disposition contraire de la présente loi, les traitements de données personnelles sont régis par les dispositions fédérales et cantonales de protection des données personnelles. Art. 349b b. Bases juridiques

RS .......... 1 RS 311.0 2016–......

1

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

Les autorités fédérales compétentes ne sont en droit de communiquer des données personnelles que s’il existe une base légale au sens de l’art. 29, al. 1, de la loi du … sur la protection des données (LPD)2 ou dans l’un des cas suivants: a.

la communication de données personnelles est nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée ou d’un tiers;

b.

la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas expressément opposée à la communication.

Art. 349c c. Egalité de traitement 1

La communication de données personnelles aux autorités compétentes des Etats qui sont liés à la Suisse par l’un des accords d’association à Schengen (Etats Schengen) ne doit pas être soumise à des règles de protection des données personnelles plus strictes que celles prévues pour la communication aux autorités pénales suisses. 2

Les lois spéciales qui prévoient des règles plus strictes pour la communication de données personnelles aux autorités compétentes étrangères ne s’appliquent pas à la communication aux autorités compétentes des autres Etats Schengen. Art. 349d d. Communication de données personnelles à un Etat tiers ou à un organisme international Aucune donnée personnelle ne peut être communiquée à l’autorité compétente d’un Etat qui n’est pas lié à la Suisse par l’un des accords d’association à Schengen (Etat tiers) ou à un organisme international si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’un niveau de protection adéquat. 1

2

Un niveau de protection adéquat est assuré par: a.

la législation de l’Etat tiers lorsque la Commission européenne l’a constaté par voie de décision conformément à l’art. 36 de la directive (UE) 2016/6803 ;

b.

un traité international;

c.

des garanties spécifiques.

L’autorité fédérale compétente informe le Préposé fédéral à la protection des données personnelles et à la transparence (préposé) des catégories de communica3

2 3

2

RS…. Directive du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou de sanctions pénales et à la libre circulation de ces données ; JO n° L 119 du 04.05.2016, p. 89

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

tions de données personnelles effectuées conformément à l’al. 2, let. c. Celles-ci sont en outre documentées. En dérogation à l’al. 1, des données personnelles peuvent être communiquées à l’autorité compétente d’un Etat tiers ou d’un organisme international lorsque la communication est, en l’espèce, nécessaire : 4

a.

pour protéger la vie ou l’intégrité corporelle de la personne concernée ou d’un tiers ;

b.

pour prévenir un danger immédiat et sérieux pour la sécurité publique d’un Etat Schengen ou d’un Etat tiers ;

c.

pour prévenir, constater ou poursuivre une infraction pour autant qu’aucun intérêt digne de protection prépondérant de la personne concernée ne s’y oppose ;

d.

à l’exercice ou à la défense d’un droit devant une autorité compétente pour prévenir, constater ou poursuivre une infraction, pour autant qu’aucun intérêt digne de protection prépondérant de la personne concernée ne s’y oppose.

L’autorité fédérale informe le préposé des communications de données personnelles effectuées en vertu de l’al. 4. 5

Les dispositions relatives à l’octroi de la coopération internationale en matière pénale à un Etat tiers ou à un organisme international s’appliquent pour le surplus. 6

Art. 349e e. Communication de données personnelles provenant d’un Etat Schengen à un Etat tiers ou à un organisme international 1

Les données personnelles transmises ou mises à disposition par un Etat Schengen ne peuvent être communiquées à l’autorité compétente d’un Etat tiers ou à un organisme international qu’aux conditions suivantes : a.

la communication est nécessaire pour prévenir, constater ou poursuivre une infraction ;

b.

l’Etat Schengen qui a transmis ou mis à disposition les données personnelles a donné son accord préalable ;

c.

les conditions de l’art. 349d sont respectées.

En dérogation à l’al. 1, let. b, des données personnelles peuvent être communiquées si, dans le cas d’espèce, les conditions suivantes sont réunies : 2

a.

l’accord préalable de l’Etat Schengen ne peut pas être obtenu en temps utile ;

b.

la communication est indispensable pour prévenir un danger immédiat et sérieux pour la sécurité publique d’un Etat Schengen ou d’un Etat tiers ou pour protéger les intérêts essentiels d’un Etat Schengen.

L’Etat Schengen est informé sans délai des communications de données personnelles effectuées en vertu de l’al. 2. 3

3

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

Art. 349f f. Communication de données personnelles à un tiers établi dans un Etat tiers Si des données personnelles ne peuvent pas être communiquées à l’autorité compétente d’un Etat tiers par les voies habituelles de la coopération policière notamment dans une situation d’urgence, l’autorité compétente peut exceptionnellement les communiquer à un tiers établi dans cet Etat lorsque les conditions suivantes sont réunies: 1

a.

la législation spéciale ou un traité international le prévoit ;

b.

la communication est indispensable à l’accomplissement d’une tâche légale de l’autorité qui communique les données ;

c.

aucun intérêt digne de protection prépondérant de la personne concernée ne s’oppose à la communication.

2 L’autorité

compétente communique les données personnelles au tiers en lui indiquant qu’il ne peut les utiliser pour d’autres finalités que celles qui ont été fixées par l’autorité. 3 L’autorité

compétente informe sans délai l’autorité compétente de l’Etat tiers de toute communication de données personnelles, pour autant que cette information soit jugée appropriée. 4 L’autorité

fédérale compétente informe sans délai le préposé des communications de données effectuées en vertu de l’al. 1. 5 Les

communications de données personnelles sont documentées. Le Conseil fédéral règle les modalités. Art. 349g g. Exactitude des données personnelles 1

L’autorité rectifie sans retard les données personnelles inexactes.

Elle informe immédiatement de la rectification de ces données l’autorité qui les lui a transmises ou mises à disposition ou à laquelle elles ont été communiquées. 2

Elle indique au destinataire l’actualité et la fiabilité des données personnelles qu’elle communique. 3

4

Elle communique en outre au destinataire toute information permettant de distinguer dans la mesure du possible : a.

les différentes catégories de personnes concernées ;

b.

les données personnelles fondées sur des faits de celles fondées sur des appréciations personnelles.

Elle est déliée de son devoir d’informer le destinataire lorsque les informations prévues aux al. 3 ou 4 ressortent des données personnelles elles-mêmes ou des circonstances. 5

4

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

Art. 349h h. Vérification de la licéité du traitement La personne concernée peut requérir du préposé qu’il vérifie si les éventuelles données la concernant sont traitées licitement dans les cas suivants : 1

a.

son droit d’être informée d’un échange de données la concernant est restreint ou différé (art. 13 et 14 LPD4);

b.

son droit d’accès est rejeté, restreint ou différé (art. 20 et 21 LPD) ;

c.

son droit de demander une limitation d’un échange de données la concernant est rejeté partiellement ou totalement (art. 34, al. 2, LPD) ;

d.

son droit de demander la rectification, la destruction ou l’effacement de données la concernant est rejeté partiellement ou totalement (art. 34, al. 3, LPD).

Une vérification ne peut être effectuée qu’à l’encontre d’une autorité fédérale assujettie à la surveillance du préposé. 2

Le préposé effectue la vérification demandée; il indique à celle-ci : soit qu’aucune donnée la concernant n’est traitée illicitement, soit qu’il a constaté une erreur relative au traitement des données personnelles et qu’il a ouvert une enquête conformément à l’art. 41 LPD. 3

En cas d’erreur relative au traitement des données, le préposé ordonne à l’autorité fédérale compétente d’y remédier. 4

La communication visée à l’al. 3 est toujours libellée de manière identique et n’est pas motivée. Elle n’est pas sujette à recours. 5

Art. 349i i. Enquête La personne concernée qui rend vraisemblable qu’un échange de données personnelles la concernant pourrait être contraire à des prescriptions de protection des données personnelles peut demander au préposé l’ouverture d’une enquête au sens de l’art. 41 LPD5. 1

Une enquête ne peut être ouverte qu’à l’encontre d’une autorité fédérale assujettie à la surveillance du préposé. 2

La personne concernée et l’autorité fédérale contre laquelle une enquête a été ouverte ont qualité de partie. 3

4

4 5

Les art. 42 et 43 LPD s’appliquent pour le surplus.

RS … RS …

5

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

Art. 355a, al. 1 et 4 L’Office fédéral de la police (fedpol) et le Service de renseignement de la Confédération (SRC) peuvent transmettre des données personnelles à l’Office européen de police (Europol), y compris des données personnelles sensibles. 1

4

Les échanges de données personnelles avec Europol sont assimilés à un échange avec une autorité compétente d’un Etat Schengen (art. 349c). Art. 355f Abrogé Art. 355g Abrogé Art. 365, al. 1, 1re phrase L’Office fédéral de la justice gère, en collaboration avec d’autres autorités fédérales et les cantons (art. 367, al. 1), un casier judiciaire informatisé contenant des données sensibles relatives aux condamnations ainsi que des données sensibles relatives aux demandes d’extrait du casier judiciaire déposées dans le cadre d’enquêtes pénales en cours. … 1

2. Code de procédure pénale6 Art. 95a

Traitement des données

Lorsque les autorités pénales compétentes traitent des données personnelles, elles veillent à prendre les mesures appropriées pour distinguer dans la mesure du possible : a.

les différentes catégories de personnes concernées ;

b.

les données personnelles fondées sur des faits de celles fondées sur des appréciations personnelles.

Art. 98, al. 2 Elles informent immédiatement de la rectification de ces données l’autorité qui les leur a transmises ou qui les a mises à leur disposition ou à laquelle elles ont été communiquées. 2

6

6

RS 312.0

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

3. Loi du 20 mars 1981 sur l’entraide pénale internationale7 Titre suivant l’art. 11a

Chapitre 1b Protection des données personnelles Insérer les art. 11b à 11i après le titre du chapitre 1b Art. 11b

Devoir d’informer lors d’un traitement de données

Lorsque la procédure d’entraide est ouverte à la demande d’un Etat étranger, l’autorité compétente informe la personne visée par une demande de coopération en matière pénale (art. 1, al. 1) de tout traitement de données la concernant pour autant qu’aucun intérêt public ou privé prépondérant ne s’y oppose. 1

Un intérêt public est jugé prépondérant notamment lorsque l’information de la personne concernée risque de compromettre une enquête, une procédure d’instruction, une procédure judiciaire ou une procédure de coopération internationale en matière pénale. 2

Art. 11c

Droit aux renseignements dans le cadre d’une procédure pendante

Tant que la procédure d’entraide est pendante, la personne visée par une demande de coopération en matière pénale peut, dans les limites de son droit de consulter le dossier, obtenir les données personnelles qui la concernent. Art. 11d

Restriction du droit d’accès applicable aux demandes d’arrestation en vue d’extradition

1

Le droit pour toute personne de demander si un Etat étranger a adressé à la Suisse une demande d’arrestation en vue d’extradition est exercé auprès de l’office fédéral. Si la demande est adressée à une autre autorité, celle-ci transmet sans délai l’affaire à l’office fédéral. Lorsqu’une personne demande à l’office fédéral s’il a reçu une demande d’arrestation en vue d’extradition d’un Etat étranger, l’office fédéral informe celle-ci qu’aucune donnée la concernant n’est traitée illicitement et qu’elle peut demander au Préposé fédéral à la protection des données et à la transparence (préposé) si les éventuelles données la concernant sont traitées licitement. 2

Le préposé effectue la vérification demandée; il indique à celle-ci : soit qu’aucune donnée la concernant n’est traité illicitement, soit qu’il a constaté une erreur relative au traitement des données personnelles et qu’il a ouvert une enquête conformément à l’art. 41 de la loi du … sur la protection des données (LPD)8. 3

En cas d’erreur relative au traitement des données, le préposé ordonne à l’office fédéral d’y remédier. 4

7 8

RS 351.1 RS …

7

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

5

Les communications visées aux al. 2 et 3 sont toujours libellées de manière identique et ne sont pas motivées. 6

La communication visée à l’al. 3 n’est pas sujette à recours.

En dérogation à l’al. 2, l’office fédéral est habilité à fournir à la personne concernée les renseignements demandés avec l’accord préalable de l’Etat requérant. 7

Art. 11e

Egalité de traitement

1

La communication de données personnelles aux autorités compétentes des Etats qui sont liés à la Suisse par l’un des accords d’association à Schengen (Etats Schengen) ne doit pas être soumise à des règles de protection des données personnelles plus strictes que celles prévues pour la communication aux autorités pénales suisses. 2

Les lois spéciales qui prévoient des règles plus strictes pour la communication de données personnelles aux autorités compétentes étrangères ne s’appliquent pas à la communication aux autorités compétentes des autres Etats Schengen. Art. 11f

Communication de données personnelles à un Etat tiers ou à un organisme international

Aucune donnée personnelle ne peut être communiquée à l’autorité compétente d’un Etat qui n’est pas lié à la Suisse par l’un des accords d’association à Schengen (Etat tiers) ou à un organisme international si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’un niveau de protection adéquat. 1

2

Un niveau de protection adéquat est assuré par : a.

la législation de l’Etat tiers lorsque la Commission européenne l’a constaté par voie de décision conformément à l’art. 36 de la directive (UE) 2016/6809;

b.

un traité international ;

c.

des garanties spécifiques.

En dérogation à l’al. 1, des données personnelles peuvent être communiquées à un Etat tiers ou un organisme international si la communication est, en l’espèce, nécessaire : 3

9

8

a.

pour protéger la vie ou l’intégrité corporelle de la personne concernée ou d’un tiers ;

b.

pour prévenir un danger immédiat et sérieux pour la sécurité publique d’un Etat Schengen ou d’un Etat tiers ;

Directive du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou de sanctions pénales et à la libre circulation de ces données ; JO n° L 119 du 04.05.2016, p. 89

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

c.

pour prévenir, constater ou poursuivre une infraction ou pour exécuter une décision pénale pour autant qu’aucun intérêt digne de protection prépondérant de la personne concernée ne s’oppose à la communication ;

d. à l’exercice ou à la défense d’un droit devant une autorité compétente pour prévenir, constater ou poursuivre une infraction ou pour exécuter une décision pénale, pour autant qu’aucun intérêt digne de protection prépondérant de la personne concernée ne s’oppose à la communication. Les dispositions relatives à l’octroi de la coopération internationale en matière pénale à un Etat tiers ou à un organisme international s’appliquent pour le surplus. 4

Art. 11g

Communication de données personnelles provenant d’un Etat Schengen à un Etat tiers ou à un organisme international

1

Les données personnelles transmises ou mises à disposition par un Etat Schengen ne peuvent être communiquées à l’autorité compétente d’un Etat tiers ou à un organisme international qu’aux conditions suivantes : a.

la communication est nécessaire pour prévenir, constater ou poursuivre une infraction ou pour exécuter une décision pénale ;

b.

l’Etat Schengen qui a transmis ou mis à disposition les données personnelles a donné son accord préalable ;

c.

les conditions de l’art. 11f sont respectées.

En dérogation à l’al. 1, let. b, des données personnelles peuvent être communiquées si, dans le cas d’espèce, les conditions suivantes sont réunies : 2

a.

l’accord préalable de l’Etat Schengen ne peut pas être obtenu en temps utile ;

b.

la communication est indispensable pour prévenir un danger immédiat et sérieux pour la sécurité publique d’un Etat Schengen ou d’un Etat tiers ou pour protéger les intérêts essentiels d’un Etat Schengen.

L’Etat Schengen est informé sans délai des communications de données personnelles effectuées en vertu de l’al. 2. 3

Art. 11h 1

Exactitude des données personnelles

L’autorité rectifie sans retard les données personnelles inexactes.

Elle informe immédiatement de la rectification de ces données l’autorité qui les a transmises ou qui les a mises à sa disposition ou à laquelle elles ont été communiquées. 2

Elle indique au destinataire l’actualité et la fiabilité des données personnelles qu’elle communique. 3

4

Elle communique en outre au destinataire toute information permettant de distinguer dans la mesure du possible : a.

les différentes catégories de personnes concernées ;

9

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

b.

les données personnelles fondées sur des faits de celles fondées sur des appréciations personnelles.

L’autorité est déliée de son devoir d’informer le destinataire lorsque les informations prévues aux al. 3 ou 4 ressortent des données personnelles elles-mêmes ou des circonstances. 5

Art. 11i

Prétentions et procédure

1

Les prétentions en matière de protection des données sont tranchées dans le cadre de la procédure d’entraide pendante et suivent les mêmes voies de droit. 2

Les art. 20, 21, 30 et 34 LPD10 ne sont pas applicables tant que la décision finale relative à la procédure d’entraide judiciaire n’est pas exécutoire. 3Le

préposé n’est pas compétent pour surveiller les traitements de données effectués par l’autorité dans le cadre de la procédure d’entraide judiciaire tant que la décision finale n’est pas exécutoire.

4. Loi fédérale du 3 octobre 1975 relative au traité conclu avec les Etats-Unis d’Amérique sur l’entraide judiciaire en matière pénale11 Art. 9a

Protection des données personnelles

Sous réserve des dispositions contraires du traité, les traitements de données personnelles sont régis par les art. 11b à 11c et 11f à 11i de la loi fédérale du 20 mars 1981 sur l’entraide internationale en matière pénale12.

5. Loi fédérale du 7 octobre 1994 sur les Offices centraux de police criminelle de la Confédération et les centres communs de coopération policière et douanière avec d’autres Etats13

Art. 13, al. 2 La communication de données personnelles dans le cadre de la coopération policière avec des autorités étrangères de poursuite pénale est régie par les art. 349a à 349i du code pénal14.

10 11 12 13 14

10

RS … RS 351.93 RS 351.1 RS 360 RS 311.0

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

6. Loi fédérale du 13 juin 2008 sur les systèmes d’information de police de la Confédération15 Art. 7, al. 2 2

Fedpol répond aux demandes de renseignements sous réserve des art. 8 et 8a et après consultation de l’autorité qui a saisi les données ou qui les a fait saisir. Art. 8, al. 2, 3, 4, 5, 6 et 8 2

Le cas échéant, fedpol informe la personne concernée du report de sa réponse; il lui indique qu’elle peut demander au Préposé fédéral à la protection des données et à la transparence (préposé) qu’il vérifie si les éventuelles données la concernant sont traitées licitement et si des intérêts prépondérants liés au maintien du secret justifient le report. Le préposé effectue la vérification demandée; il indique à celle-ci : soit qu’aucune donnée la concernant n’est traitée illicitement, soit qu’il a constaté une erreur relative au traitement des données personnelles ou au report de la réponse et qu’il a ouvert une enquête conformément à l’art. 41 de la loi du … sur la protection des données (LPD)16. 3

4 Abrogé

En cas d’erreur relative au traitement des données ou au report de la réponse, le préposé adresse à fedpol une décision lui ordonnant d’y remédier. 5

La communication visée à l’al. 3 est toujours libellée de manière identique et n’est pas motivée. Elle n’est pas sujette à recours. 6

8

Si une personne rend vraisemblable que le report de la réponse la lèse gravement et de manière irréparable, le préposé peut ordonner à fedpol de fournir immédiatement et à titre exceptionnel le renseignement demandé, pour autant que cela ne constitue pas une menace pour la sûreté intérieure ou extérieure. Insérer avant le titre de la section 2 Art. 8a

Restriction du droit d’accès aux signalements en vue d’une arrestation aux fins d’extradition

Lorsqu’une personne demande à fedpol si elle est signalée dans un système d’information de police en vue d’une arrestation aux fins d’extradition, fedpol informe la personne concernée qu’aucune donnée la concernant n’est traitée illégalement et qu’elle peut demander au préposé si les éventuelles données la concernant sont traitées conformément au droit. 1

Le préposé effectue la vérification demandée; il indique à celle-ci: soit qu’aucune donnée la concernant n’est traitée illégalement, soit qu’il a constaté une erreur 2

15 16

RS 361 RS …

11

Loi fédérale sur l’édiction et la modification d’actes relatifs à la protection des données personnelles RO 2016

relative au traitement des données personnelles et qu’il a ouvert une enquête conformément à l’art. 41 LPD17. En cas d’erreur relative au traitement des données, le préposé ordonne à fedpol d’y remédier. 3

4

Les communications visées aux al. 1 et 2 sont toujours libellées de manière identique et ne sont pas motivées. 5

La communication visée à l’al. 2 n’est pas sujette à recours.

7. Loi du 12 juin 2009 sur l’échange d’informations Schengen 18 Art. 2, al. 3 3

Le traitement de données personnelles est régi par les art. 349a à 349i du code pénal19. Art. 6a Abrogé Art. 6b Abrogé Art. 6c Abrogé

III 1

La présente loi est sujette au référendum.

2

Le Conseil fédéral fixe la date de l’entrée en vigueur.

17 18 19

12

RS … RS 362.2 RS 311